Un test de penetración por lo general es una acción acordada entre un pentester y una empresa o individual que desea tener sus sistemas informáticos puestos a prueba para identificar y posteriormente corregir posibles vulnerabilidades y los peligros asociados a las mismas. Esta auditoría representa para el cliente una importante fuente de información ya que el pentester actuará como un atacante proporcionando información desde un punto de vista totalmente diferente al que el propio equipo de IT de la empresa (en caso que no se realizen tests de penetración) pueda aportar.

El objetivo del test de penetración variará de cliente en cliente, se puede pedir al pentester comprobar una aplicación web, intentar ejecutar ataques de ingeniería social, actuar como un atacante interno, comprobar los sistemas físicos de seguridad en la oficina,etc... Normalmente cualquier test de penetración se debe efectuar siguiendo unos pasos predeterminados para poder presentar finalmente unos buenos resultados, estos pueden variar en cierta medida dependiendo del auditor pero generalmente vienen a ser los siguientes:

Contacto

En esta fase inicial se debe acordar con el cliente en que va a consistir el test de penetración, entendiendo cuál es el objetivo de este pentest, cuales son los servicios críticos para la empresa y que supondría un mayor problema en caso de ataque. Dependiendo de la empresa, una web caída durante algunas horas puede suponer un grave daño económico mientras que para otras sería mucho más grave que se robara información de sus bases de datos.

En esta fase se han de hablar y acordar por escrito diversos aspectos del test de penetración, como por ejemplo cuál sería el ámbito de nuestro pentest, que IPs, servicios o dispositivos podemos incluir en el pentest y cuáles no. Se podrán utilizar exploits contra servicios vulnerables o únicamente identificarlos? Se podrá ejecutar el pentest en cualquier momento o solo a determinadas horas? A quien debemos contactar en caso que encontremos alguna vulnerabilidad crítica para la empresa...

Además de estos puntos en esta fase se ha de obtener del cliente un escrito en el que se autorize este test de penetración y limite nuestra responsabilidad en caso de que surjan problemas y finalmente todo lo relacionado a pagos,etc.. por nuestro trabajo.

Fase de recolección de información

En esta fase del pentest nos dedicaremos a obtener toda la información posible de la empresa disponible a través de arañas y de scanners para hacernos una idea de los sistemas y programas en funcionamiento. La actividad de los empleados en redes sociales de la empresa también puede revelar que sistemas utilizan, sus correos electrónicos,etc.. Toda esta información nos será de gran utilidad.

Fase de modelado de amenaza

En este momento y a partir de la información recogida previamente, debemos pensar como si fuéramos atacantes en cual va a ser nuestra estrategia de penetración. Cuales deben ser nuestros objetivos y que manera tendríamos de llegar hasta ellos. Puede ocurrir que posteriormente y sobre la marcha lo que creíamos sería nuestra puerta de entrada se convierta en un callejón sin salida y acabemos siguiendo un camino diferente e inesperado, de todas maneras siempre es necesario plantear inicialmente esta estrategia.

Fase de Análisis de vulnerabilidades

Llegados a este punto debemos valorar el posible éxito de nuestras estrategias de penetración a través de la identificación proactiva de vulnerabilidades. En este momento es cuando la habilidad del pentester se pone de manifiesto ya que la creatividad del mismo es determinante para seleccionar y utilizar correctamente todo el arsenal de herramientas a su disposición para conseguir los objetivos establecidos en pasos anteriores.

Fase de Explotación

Ha llegado el momento de intentar conseguir acceso a los sistemas objetivo de nuestro test de penetración, para ello ejecutaremos exploits contra las vulnerabilidades identificadas en fases anteriores o simplemente utilizaremos credenciales obtenidas para ganar acceso a los sistemas.

Fase de Post-Explotación

En el momento en que hayamos puesto un pie dentro de los sistemas del cliente comienza la fase en la que hemos de demostrar que podría suponer esta brecha de seguridad para el cliente. No es lo mismo conseguir acceder a un antiguo ordenador que no sea tan siquiera parte del dominio como entrar directamente a un DC. En esta fase tratamos de conseguir el máximo nivel de privilegios, información de la red y acceso al mayor número posible de sistemas identificando que datos y/o servicios tenemos a nuestro alcance....

Fase de Informe

Finalmente tenemos que presentar el resultado de la auditoría al cliente, de manera que este comprenda la seriedad de los riesgos emanantes de las vulnerabilidades descubiertas, remarcando aquellos puntos en los que la seguridad se había implantando de manera correcta y aquellos que deben ser corregidos y de que manera. Esta fase es para las dos partes posiblemente la más importante. Como posiblemente este informe sea leído tanto por personal de IT como por responsables sin conocimientos técnicos conviene separar el informe en una parte de explicación general y en otra parte más técnica lo que vendría a ser por una parte el informe ejecutivo y el informe técnico.